⚠️ XSS에 대한 전반적인 내용은 Cullinan > XSS 페이지에서 관리하고 있습니다. 해당 페이지에서 최신 데이터가 유지되니 참고 부탁드려요 :D

⚠️ XSS에 대한 전반적인 내용은 Cullinan > XSS 페이지에서 관리하고 있습니다. 해당 페이지에서 최신 데이터가 유지되니 참고 부탁드려요 :D

다수의 모바일 악성코드는 사용자 디바이스의 루팅 여부를 확인하는 경우가 많습니다. 추가적인 root exploit 없이 쉽게 root 권한을 사용할 수 있으며, root 권한을 통해 안드로이드 OS에서 통제하지 못하는 부분에 대해서도 작업이 가능하기 때문입니다.

악성 안드로이드 APK 분석 시 많이 사용되는 툴인 jad에 관한 이야기를 할까 합니다. jad 는 주로 dex2jar 를 통해 디컴파일하여 분석하는 과정 중 디컴파일이 불가능한 부분(ERROR 노출)을 java 코드로 변환하여 확인하기 위해 많이 사용하였습니다.

최근 케노니컬 사 홈페이지 및 Exploit-db 를 통해서 공유된 취약점입니다. CVE-2015-1328은 Ubuntu 12.04, 14.04, 14.10, 15.04 등 6/15일 이전 커널에서 동작하며 overlayfs 를 사용할 때 권한 상승이 가능한 취약점이며 해당 취약점을 통해 공격자가 쉽게 관리자 권한(root) 획득이 가능합니다.

코드 난독화란 코드를 쉽게 알아볼 수 없도록 만드는 기술입니다. 쉽게 생각하면 int a = 123 이란 코드를 int a = ((123+34+350-34-350)*0)+123 같이 좀 더 알아보기 어렵게 만드는 기술입니다. 물론 위의 대충 쓴 코드는 쉽게 볼 수 있지만 escape, unescape 함수 등을 이용해서 코드가 눈에 잘 들어오지 않도록 만들 수 있습니다.

공유 라이브러리의 경로를 의미하는 LD_PRELOAD를 이용하여 Linux System 후킹에 대한 이야기입니다. 크게 시나리오를 보자면 LD_PRELOAD에 공격자가 .so 파일을 삽입하고 시스템 명령이 해당 so 파일을 로드하여 명령 내에서 사용되는 함수를 바꿔치기 하여 데이터를 숨기는 과정입니다.

MSFVENOM

metasploit 에 포함된 기능 중 하나이며 간단한 명령으로 exploit 코드 생성, exploit이 포함된 프로그램 생성, 기존에 존재하는 프로그램에 주입하는 등 여러가지 행위가 가능합니다. msfpayload, msfencoder 로도 가능하지만 개인적으로는 venom 이 가장 편한 것 같습니다.

adb shell 내 pm 명령을 이용하여 package 경로 확인이 가능합니다. 경로 확인 후 adb pull 을 이용하여 apk 파일을 꺼내올 수 있습니다.

최근 이슈가 됬었던 MS 보안패치 중 HTTP.sys Remote Code Exploit(CVE-2015-1635/MS15-034)에 대한 이야기가 있었습니다. 공격자가 HTTP 헤더를 조작하여 취약한 시스템에 이상을 발생시키는 취약점이며 윈도우 계열 서버인 IIS에서 가능하며, 어느정도 이슈가 있었던 것으로 보입니다.